周奕濤，張 斌，劉自豪

（1. 戰(zhàn)略支援部隊信息工程大學(xué)，河南鄭州 450001；2. 河南省信息安全重點實驗室，河南鄭州 450001；3.61660部隊，北京 100080）

1 引言

應(yīng)用層DDoS 攻擊具有隱蔽性強、使用合法連接、與正常用戶集中訪問（Flash Crowd）事件相似等特點，近年來得到快速發(fā)展，已逐步成為主流的DDoS 攻擊方式［1］. 近年來，研究者通過分析應(yīng)用層DDoS 攻擊與正常訪問之間的流量特征或用戶行為特征差異進(jìn)行攻擊檢測，該方向已成為研究熱點.

目前，應(yīng)用層DDoS 攻擊檢測主要有三種方法. 第一種為基于人機測試的檢測方法. 這種方法通過向服務(wù)請求者發(fā)送人機測試問題，根據(jù)服務(wù)請求者的回答判斷身份，進(jìn)而實現(xiàn)應(yīng)用層DDoS 攻擊檢測. 例如CAPTCHA 方法［2］，給予服務(wù)請求者人工容易解決而機器卻難以識別的問題，進(jìn)而識別攻擊者；以及Speak-up方法［3］，通過要求服務(wù)請求者提高訪問速率以識別訪問速率達(dá)到上限的攻擊者. 這種方法簡單有效，但是需要消耗額外的服務(wù)器資源，并且會降低服務(wù)質(zhì)量［4］. 第二種為基于流量特征的檢測方法. 這種方法基于應(yīng)用層DDoS 攻擊對網(wǎng)絡(luò)流量的統(tǒng)計特征改變以實現(xiàn)攻擊檢測，通過提取區(qū)分度較高的流量特征，識別攻擊流量與正常流量，如基于機器學(xué)習(xí)的檢測方法［5］，以及基于數(shù)學(xué)統(tǒng)計學(xué)的檢測方法［6］. 這種方法檢測速率快，支持實時檢測，但是難以區(qū)分Flash Crowd 事件與HTTP Flood攻擊［7］. 第三種為基于用戶行為特征的檢測方法，這種方法基于正常用戶與攻擊用戶訪問行為的差異性進(jìn)行攻擊檢測，如基于訪問順序的檢測方法［8］以及基于用戶行為特征聚類的檢測方法［9］. 這種方法檢測準(zhǔn)確率較高，對Flash Crowd 事件與HTTP Flood 攻擊具有一定的區(qū)分能力，但是建模復(fù)雜，檢測速率較慢，對用戶訪問記錄較少的Slow DDoS攻擊檢測準(zhǔn)確率較低［7］.

為進(jìn)一步提升應(yīng)用層DDoS 攻擊檢測準(zhǔn)確率，提出一種基于MDL（Multimodal Deep Learning）神經(jīng)網(wǎng)絡(luò)結(jié)合流量與用戶行為特征的應(yīng)用層DDoS 攻擊檢測模型.有效區(qū)分Flash Crowd 事件與HTTP Flood 攻擊，同時對Slow DDoS 攻擊同樣具備良好的檢測能力，實現(xiàn)更為全面的應(yīng)用層DDoS 攻擊檢測. 同時，為減少MDL 神經(jīng)網(wǎng)絡(luò)在網(wǎng)絡(luò)參數(shù)更新過程中的災(zāi)難性遺忘現(xiàn)象［10］，實現(xiàn)檢測模型參數(shù)的高效更新，針對MDL 神經(jīng)網(wǎng)絡(luò)提出一種基于EWC（Elastic Weight Consolidation）算法［11］的模型參數(shù)高效更新方法EWC-UD，無需存儲原始數(shù)據(jù)集，即可在不丟失原有知識的前提下，獲得對新數(shù)據(jù)的檢測能力，提升檢測模型的更新性能.

2 基于MDL 神經(jīng)網(wǎng)絡(luò)的應(yīng)用層DDoS 攻擊檢測模型

2.1 應(yīng)用層DDoS攻擊檢測流程

為獲得流量與用戶行為特征，分別從網(wǎng)絡(luò)關(guān)鍵節(jié)點處部署嗅探器以收集網(wǎng)絡(luò)數(shù)據(jù)包Pcap 文件，以及從網(wǎng)頁服務(wù)器主機上收集服務(wù)器日志.Pcap 文件主要記錄流經(jīng)網(wǎng)絡(luò)關(guān)鍵節(jié)點處的數(shù)據(jù)包信息，通過統(tǒng)計Pcap文件信息，可以得到反映網(wǎng)絡(luò)數(shù)據(jù)流的流量大小、流量速率、數(shù)據(jù)包分片信息等流量特征，而網(wǎng)頁服務(wù)器日志主要記錄用戶請求網(wǎng)頁的內(nèi)容、訪問順序、請求狀態(tài)碼等信息，通過統(tǒng)計網(wǎng)頁服務(wù)器日志，可以得到用戶訪問請求成功率、閱讀時間等用戶行為特征.

流量與用戶行為特征經(jīng)過提取后輸入多模態(tài)深度神經(jīng)網(wǎng)絡(luò). 多模態(tài)深度神經(jīng)網(wǎng)絡(luò)由多個深度神經(jīng)網(wǎng)絡(luò)構(gòu)成，流量特征向量與用戶行為特征向量分別輸入獨立的流量深度神經(jīng)網(wǎng)絡(luò)（Traffic Deep Neural Network，TDNN）與用戶行為深度神經(jīng)網(wǎng)絡(luò)（User-behavior Deep Neural Network，U-DNN），T-DNN 與U-DNN 通過全連接的多層神經(jīng)元將流量與用戶行為特征向量轉(zhuǎn)換為深層抽象特征，以相同形式表示流量與用戶行為特征，從而實現(xiàn)特征結(jié)合. 隨后，通過一個匯聚神經(jīng)網(wǎng)絡(luò)（Merge Deep Neural Network，M-DNN）將流量與用戶行為的深層抽象特征進(jìn)行匯聚并輸出最終結(jié)果.

2.2 基于EWC算法的模型參數(shù)更新方法

MDL 神經(jīng)網(wǎng)絡(luò)作為連接性神經(jīng)網(wǎng)絡(luò)，在參數(shù)更新過程中存在災(zāi)難性遺忘問題，即對新數(shù)據(jù)集的學(xué)習(xí)可能導(dǎo)致神經(jīng)網(wǎng)絡(luò)遺忘初始數(shù)據(jù)集知識，使得對初始數(shù)據(jù)集所反映攻擊類型的檢測效果下降. 因此，針對MDL神經(jīng)網(wǎng)絡(luò)，設(shè)計了一種基于EWC 算法的模型參數(shù)更新方法EWC-UD，無需存儲全部原始數(shù)據(jù)，僅需原始數(shù)據(jù)的少量抽樣以及現(xiàn)有的神經(jīng)網(wǎng)絡(luò)參數(shù)，即可實現(xiàn)模型更新.

設(shè)NSample為費雪信息矩陣計算樣本數(shù)，θi(i∈{1，2，…，N})為MDL 神經(jīng)網(wǎng)絡(luò)參數(shù)，其中N為MDL神經(jīng)網(wǎng)絡(luò)參數(shù)數(shù)目，F(xiàn)為費雪信息矩陣，LB(θ)為僅訓(xùn)練新數(shù)據(jù)集訓(xùn)練過程的損失函數(shù)，LEWC-UD(θ)為EWC-UD方法訓(xùn)練過程中的損失函數(shù)，yp(x)為MDL 神經(jīng)網(wǎng)絡(luò)預(yù)測輸出.

首先，利用原數(shù)據(jù)的少量樣本，與現(xiàn)有的MDL神經(jīng)網(wǎng)絡(luò)參數(shù)計算MDL神經(jīng)網(wǎng)絡(luò)輸出關(guān)于神經(jīng)網(wǎng)絡(luò)參數(shù)的一階導(dǎo)數(shù)，以獲得反映現(xiàn)有神經(jīng)網(wǎng)絡(luò)參數(shù)對初始數(shù)據(jù)集重要程度的費雪信息矩陣，如下式所示：

式（1）中，i，j分別為費雪信息矩陣的行標(biāo)與列標(biāo).在之后的更新過程中，根據(jù)式（1）得到MDL神經(jīng)網(wǎng)絡(luò)參數(shù)對應(yīng)的重要程度參數(shù)，即費雪信息矩陣的對角元素后，修改更新過程的損失函數(shù)，為重要的MDL神經(jīng)網(wǎng)絡(luò)參數(shù)增加懲罰項，使其在更新過程中難以改變，如下式所示：

2.3 基于K-Means算法的數(shù)據(jù)篩選方法

記初始數(shù)據(jù)集A、新數(shù)據(jù)集B 為DA、DB，θA、θB、θA，B分別為MLP 神經(jīng)網(wǎng)絡(luò)分別在DA、DB以及聯(lián)合DA與DB下訓(xùn)練后的模型參數(shù)，設(shè)θEWC-UD為經(jīng)過EWC-UD 更新后的模型參數(shù).

EWC-UD 方法正確性證明需要將神經(jīng)網(wǎng)絡(luò)訓(xùn)練過程看作條件概率的尋優(yōu)過程，從而證明θA，B與θEWC-UD近似相等. 而在聯(lián)合數(shù)據(jù)集DA、DB下訓(xùn)練神經(jīng)網(wǎng)絡(luò)的過程可表示為：θA，B=argmaxθ(log(P(θ|DA，DB))). 若數(shù)據(jù)集DA、DB具有較強獨立性，根據(jù)條件概率公式與貝葉斯公式，log(P(θ|DA，DB)可以拆分為下式：

其中，logP(DB|θ)可看作為訓(xùn)練過程中的交叉熵函數(shù)LB(θ)，logP(θ|DA)經(jīng)過拉普拉斯對角近似后，忽略3 次方及以上項后可表示為

logP(DB)為常數(shù). 綜上對式（3）改寫后，對參數(shù)θ進(jìn)行尋優(yōu)可得

綜上，EWC-UD 更新方法的正確性前提是要求初始數(shù)據(jù)集與新數(shù)據(jù)集具有較強的獨立性. 因此，設(shè)計一種基于K-Means 聚類方法的數(shù)據(jù)篩選方法，如圖1所示.

圖1 K-Means數(shù)據(jù)篩選方法圖示

圖1 中，空白節(jié)點表示初始數(shù)據(jù)集數(shù)據(jù)，黑色節(jié)點表示新數(shù)據(jù). 假設(shè)聚類簇劃分為(C1，C2，C3，…，Ck)，每個類簇存在一個質(zhì)心，K-Means 算法通過最小化平方誤差，讓類簇內(nèi)的點盡可能密集，從而實現(xiàn)聚類效果. 采用該類方法，可以有效防止因初始數(shù)據(jù)集與新數(shù)據(jù)集相關(guān)性過高而導(dǎo)致的更新失敗問題，同時過濾了重復(fù)數(shù)據(jù)，減少模型參數(shù)更新過程的計算量，進(jìn)一步提升模型參數(shù)更新效率.

3 實驗結(jié)果與分析

實驗主要驗證多模態(tài)深度神經(jīng)網(wǎng)絡(luò)的檢測性能、EWC-UD 方法的更新性能、K-Means 數(shù)據(jù)篩選方法性能. 共使用3 個應(yīng)用層DDoS 攻擊數(shù)據(jù)集，包括CIC 2017 App-DDoS Dataset［12］、CES-CIC-IDS2018-AWS［13］以及CIC DDoS 2019［14］. 提取CES-CIC-IDS2018-AWS 中的DDoS 攻擊部分，與CIC 2017 App-DDoS Dataset 結(jié)合成為融合數(shù)據(jù)集（簡稱為Datasetold）. 使用CIC DDoS 2019作為新數(shù)據(jù)集（簡稱為Datasetnew）.

3.1 基于MDL 神經(jīng)網(wǎng)絡(luò)的應(yīng)用層DDoS 攻擊檢測性能驗證

為驗證流量與用戶行為特征分別對于HTTP Flood攻擊與Slow DDoS 攻擊的檢測能力，并驗證結(jié)合流量與用戶行為特征的檢測性能，以檢測準(zhǔn)確率（Accuracy）、F1 分?jǐn)?shù)（F1_Score）、以及ROC 曲線與X 軸所圍面積AUC作為評價參數(shù).

基于流量特征、用戶行為特征以及結(jié)合流量與用戶行為特征的應(yīng)用層DDoS攻擊檢測結(jié)果如圖2所示.

圖2 流量與用戶行為特征對各類應(yīng)用層DDoS攻擊檢測性能比較

實驗表明，基于流量特征與基于用戶行為特征對HTTP Flood 與Slow DDoS 攻擊具有不同的檢測性能.HTTP Flood 攻擊使用合法數(shù)據(jù)包，流量統(tǒng)計特征與Flash Crowd 事件較為相似，但是請求分布隨機，規(guī)律性較差，與正常用戶訪問行為存在較大差異，因此使用用戶行為特征可以取得較好的檢測效果，而使用流量特征則檢測效果欠佳. 而Slow DDoS攻擊通常采用少量而持續(xù)時間長的請求消耗服務(wù)器資源，其數(shù)據(jù)包分段信息等流量統(tǒng)計特征會發(fā)生較大改變，但是導(dǎo)致用戶日志記錄較少，因此使用用戶行為特征對這類攻擊難以檢測，而基于流量特征則取得比較好的檢測效果. 而所提模型結(jié)合流量與用戶行為特征，對HTTP Flood 攻擊與Slow DDoS 攻擊都取得了更好的檢測效果，在整體檢測中表現(xiàn)同樣為最優(yōu).

3.2 EWC-UD模型參數(shù)更新方法性能驗證

為驗證所提EWC-UD 方法的模型參數(shù)更新性能，設(shè)置以下兩類場景：

場景1：模型參數(shù)訓(xùn)練數(shù)據(jù)集為Datasetold，模型參數(shù)更新數(shù)據(jù)集為Datasetnew. 該場景模擬檢測模型在一段時間內(nèi)進(jìn)行計劃內(nèi)更新的情況.

場景2：模型參數(shù)訓(xùn)練數(shù)據(jù)集為Datasetold，模型參數(shù)更新數(shù)據(jù)集為CIC DDoS 2019 中的Portmap 攻擊數(shù)據(jù)，該場景模擬檢測模型在發(fā)現(xiàn)新型應(yīng)用層DDoS 攻擊后進(jìn)行緊急更新的場景.

設(shè)置以下兩種MLP 神經(jīng)網(wǎng)絡(luò)更新方式作為EWCUD方法的對照組：

MLP_New：以Datasetold作為模型原參數(shù)訓(xùn)練數(shù)據(jù)集，以Datasetnew作為模型參數(shù)更新所用數(shù)據(jù)集.

MLP_Whole：以Datasetold作為模型原參數(shù)訓(xùn)練數(shù)據(jù)集，以Datasetold與Datasetnew的融合數(shù)據(jù)集作為模型參數(shù)更新所用數(shù)據(jù)集.

EWC-UD 模型參數(shù)更新方法更新性能驗證實驗結(jié)果如表1所示.

表1 各類檢測模型參數(shù)更新方法性能

實驗表明，EWC-UD 方法在場景1 與場景2 下都具備優(yōu)秀的模型參數(shù)更新性能，相較于MLP_Whole 方法，檢測性能幾乎無差別，但時間與空間開銷顯著下降.

3.3 K-Means數(shù)據(jù)篩選方法性能驗證

以Datasetold為模型參數(shù)訓(xùn)練數(shù)據(jù)集，以Datasetnew為更新數(shù)據(jù)集，分別隨機抽樣初始數(shù)據(jù)集的1%、2%、3%、4%、5%的數(shù)據(jù)樣本，并與新數(shù)據(jù)集進(jìn)行合并. 以初始數(shù)據(jù)集與新數(shù)據(jù)集的融合數(shù)據(jù)集作為測試數(shù)據(jù)集，進(jìn)行5次重復(fù)實驗，計算經(jīng)過EWC-UD方法進(jìn)行模型參數(shù)更新后，檢測模型的檢測準(zhǔn)確率、F1分?jǐn)?shù)、召回率、精確率的實驗平均值，并與經(jīng)過K-Means數(shù)據(jù)篩選后再經(jīng)過EWC-UD 方法進(jìn)行模型參數(shù)更新后的檢測模型進(jìn)行對比，實驗結(jié)果如表2所示.

表2 K-Means數(shù)據(jù)篩選方法性能驗證

實驗表明，隨著初始數(shù)據(jù)集與新數(shù)據(jù)集相關(guān)程度的增加，EWC-UD 方法的更新性能顯著下降，而經(jīng)過數(shù)據(jù)篩選，刪除與聚類中心點過近的重復(fù)數(shù)據(jù)后，EWCUD 方法的更新性能始終保持在較高水平，表明KMeans 數(shù)據(jù)篩選方法可有效改善EWC-UD 方法難以處理相關(guān)性過高數(shù)據(jù)集的問題.

4 總結(jié)

提出了一種基于MDL 神經(jīng)網(wǎng)絡(luò)的應(yīng)用層DDoS 攻擊檢測模型，結(jié)合流量與用戶行為特征對應(yīng)用層DDoS攻擊進(jìn)行檢測. 同時設(shè)計了一類高效的模型更新方法EWC-UD，并針對EWC 算法對初始數(shù)據(jù)集與新數(shù)據(jù)集獨立性要求較高的問題，提出一種K-Means數(shù)據(jù)篩選方法，實現(xiàn)了應(yīng)用層DDoS 攻擊模型的高效更新. 實驗表明，所提模型具備良好的應(yīng)用層DDoS 攻擊檢測性能，且具有較高的模型參數(shù)更新效率.